El Sello de calidad de Protección de Datos. La ISO 27701

El Reglamento General de Protección de Datos (RGPD) ya preveía, desde el comienzo, la posibilidad de que las empresas, en el marco del principio de responsabilidad proactiva que la norma comunitaria exige, pudiesen acudir a sistemas de certificación que ayudasen a demostrar dicho cumplimiento en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.

Así, el artículo 24.3 establece:

La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por otro lado, el artículo 42.1 indica que:

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.”

Pues bien, derivado de ello y como complemento a las ya conocidas Normas ISO 27001 y 27002 de Seguridad de la Información surgió la ISO 27701 de gestión de la privacidad. Esta norma es una Guía para las organizaciones que quieran cumplir con los requisitos del RGPD y otros sobre privacidad de datos. La ISO 27701, también conocida como Sistema de Gestión de la Información Confidencial (SGIC) proporciona un marco de trabajo para que los controladores y procesadores de la Información Personal Identificable gestionen la información confidencial. Dichos sistemas de gestión de la información confidencial también se denominan “sistemas de gestión de la información personal.”

En comunión necesaria con las mencionadas ISO 27000 y 27001, pues previamente debe contarse con estas, la ISO 27701 da como resultado un SISTEMA DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACION (SGPI), estableciendo los requisitos para implementar, mantener ymejorar continuamente los procesos de privacidad en las empresas.

Se hace referencia en la norma al respeto a los principios del RGPD, el cumplimiento de las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, la evaluación de impacto, la notificación a la autoridad de control de posibles brechas de seguridad o la designación del Delegado de Protección de Datos (DPD) entre otros.

El propósito es ayudar a reducir el riesgo con respecto a los derechos de privacidad de los individuos y las organizaciones al mejorar un sistema de gestión de la seguridad de la información existente.

El hecho de disponer de este sistema de certificación será sin duda, una manera inmejorable de acreditar tanto a clientes como otras partes interesadas que la empresa ha implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad, actuando como garantía de dicho cumplimiento.

Desde el punto de vista del régimen sancionador en materia de privacidad, recogido en el RGPD y en las legislaciones nacionales, la obtención de este “sello de protección de datos” puede suponer una prueba al menos indiciaria de ese mencionado cumplimiento de la responsabilidad proactiva exigida, lo que sin duda ayudará en la defensa de los intereses de la empresa en caso de alguna actuación inspectora o denuncia.

Pero no solo debemos tenerlo en cuenta desde el punto de vista meramente de la acreditación del cumplimiento normativo de cara a las Autoridades de Control, sino que, quizá lo más importante, supone un valor añadido y un argumento de valor competitivo en un contexto como el actual de mercado digital, en el que si no existe una confianza mínima en el interesado sin duda no llevará a cabo operaciones que ahora mismo resultan imprescindibles para la supervivencia de las empresas. Se trata, por tanto, de un auténtico salto cualitativo para las empresas, que generará confianza y aumentará el “valor de marca” de la empresa que disponga de estos mecanismos de certificación.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *